IoTとセキュリティ · IoTの定義をまとめてみると... (IoT)!...

IAFフォラム2014IAFフォーラム2014第6回WGセミナー

IoTとセキュリティ2015-02-09

組み込みソリューション第⼀部第チム第⼀チーム⽶野巌視

Copyright © 2015 Genshi Meno, OGIS-RI. All Rights Reserved

はじめに• おことわり

– “IoTとセキュリティ”というお題をいただいたものの、さまざまなIoTとセキュリティというお題をいただいたものの、さまざまな領域にまたがる広⼤なテーマで途⽅に暮れてしまいました。

– そこで今回は結論じみたものではなく、“IoTとセキュリティ”に関する現状や課題を共有できればという思いであまりまとまりもする現状や課題を共有できればという思いで、あまりまとまりもなくとりとめのない内容ですが資料をまとめてみました。

– なお本資料の内容は”IoTとセキュリティ“に対する発表者の個⼈的な意⾒・⾒解です。オージス総研の⾒解とは⼀切関係ありません。

• それからどうでもいい話ですが...– 同僚が字が顔に⾒えて仕⽅ないとぼやいてました– 同僚が字が顔に⾒えて仕⽅ない、とぼやいてました。

Copyright © 2015 Genshi Meno, OGIS-RI. All Rights ReservedIoTとセキュリティ 2

⾃分なりにIoTの定義を整理してみた

IoTのおさらい


そもそもIoTとは何か... (IoT)?• 巷ではさまざまな定義がされている

– 物のインターネット IoT（Internet of Things）とは? : THE PAGEhtt //th j /d t il/20140214 00000002 dl f• http://thepage.jp/detail/20140214-00000002-wordleaf

– 「モノのインターネット」-- 定義はどこまで拡散するのか : ZDNetJapan• http://japan zdnet com/article/35051376/• http://japan.zdnet.com/article/35051376/

– 注⽬度急上昇中の「IoT」とはそもそも何者か?企業が肝に銘じるべき“モノづくり⽂化”の転換点 : The DIAMOND• http://diamond.jp/articles/-/60831p // jp/ / /

– 「モノのインターネットとは?」〜IoTの動向と課題〜前編 : BigData Magazine• http://bdm.change-jp.com/?p=1677半導体基礎知識（）を定義よ– 半導体の基礎知識（4）― IoTを定義しよう : EDN Japan• http://ednjapan.com/edn/articles/1407/14/news007.html

「I E」 (I f E hi ) なる⾔葉ま登場• 「IoE」 (Internet of Everything) なる⾔葉まで登場– http://internetofeverything.cisco.com/ja/


イメージを共有するために... (IoT)?• IoTと共に現れるキーワードの数々

– センサー物理的な状態を感知する⼿段として• 物理的な状態を感知する⼿段として

– 無線タグ• インタネットと接続する⼿段として• インターネットと接続する⼿段として

– モバイル端末• センサーと通信機能を併せ持つデバイスとして• センサと通信機能を併せ持つデバイスとして

– ⾃動⾞ (テレマティクス)• 通信機能を持つセンサーの塊として通信機能持塊

– ウェアラブル• ヒトが着⽤できる新しい分野のデバイスとして

– スマート○○ (スマート家電、スマートハウス...)• さまざまなセンサー群に加え、物理的な状態を操作するものとして


IoTの定義をまとめてみると... (IoT)!• インターネットに接続できる

– インターネットプロトコルで通信できるインタネットプロトコルで通信できる

• 物理的な状態を感知したり操作したりできる– センサーやアクチュエーターなどが付いている

能動的に通信できる• 能動的に通信できる– ヒトの操作が介在しなくても通信できる

⇒ これらの条件を満たすデバイスが前提となる


いろいろな観点があるようで... (IoT)?• テクノロジーの側⾯

– IoTの条件を満たすデバイスIoTの条件を満たすデバイス

• ソリューションの側⾯– そうしたデバイスを前提としたシステム

• アプリケーションの側⾯– そうしたシステムを利⽤したさまざまなサービス

この側⾯は WoT (Web of Things) と呼ばれることもある– この側⾯は WoT (Web of Things) と呼ばれることもある

⇒ すべて IoT というキーワードで語られている


IoTとIAの関係... (IoT)• そもそもIA (産業オートメーション) は

– 「能動的に通信」する装置が連携しながら「物理的な状態を感知して操作 (制御)」を⾏うことが⽬的– 「物理的な状態を感知して操作 (制御)」を⾏うことが⽬的

• これまでは– 装置や機器の計装が中⼼

• 昨今は– 「インターネットに接続できる」プロトコルも使われる

⇒ インターネットにつなげれば、IoTそのもの ?• そしてこれからは...

– モノヒトコトをより広く詳しく「感知して操作」できるように

⇒ インタネットにつなげれば、IoTそのもの ?

モノ、ヒト、コトをより広く詳しく「感知して操作」できるように...• モノ: ワークや治具など従来は扱われる対象だったモノの状態など• ヒト: 作業員などヒトの状態や⾏動など• コト: 設備や施設の周囲、サプライチーンの上流や下流などの環境、事象


サイバーセキュリティの⼀般的な特徴について

サイバーセキュリティの⼀般論


⼀般的なサイバー攻撃とその影響 (IoT)• おおざっぱにまとめると

ぬすむセキュリティ対策の解析ぬすむ情報を盗み取る

盗聴、窃取

セキュリティ対策の解析システム構成の把握鍵の推測、解読、流出リバースエンジニアリング

だます偽の情報を与える

改ざん偽物プライバシーの侵害

個⼈の特定、⾏動の追跡

こわす

改ざん、偽物なりすまし

個⼈の特定、⾏動の追跡運転員の個⼈情報 (攻撃の⼿掛り)

財産の侵害こわす情報をダメにする

消去、破壊

財産の侵害秘密情報の流出重要情報の⽋損、喪失

邪魔する機能を阻害する

異常な負荷

業務の妨害システムの性能劣化システムの機能喪失暴⾛


異常な負荷システムの機能喪失、暴⾛

IoTとセキュリティ 10

さまざまなサイバー攻撃の⼿法 (IoT)• 物理的な攻撃

– 装置や機器の破壊、改造、偽造– サイドチャネル攻撃サイドチャネル攻撃

• 有線/無線通信への攻撃– 通信の傍受– 通信の妨害 (Jamming, Shield...)– 通信のなりすまし (Replay, Spoofing...)– 中間者攻撃 (man-in-the-middle attack)

サビス拒否攻撃 (DoS Message Flooding )– サービス拒否攻撃 (DoS, Message Flooding...)

• 機能 (プログラム) への攻撃– 脆弱性の悪⽤脆弱性の悪⽤– 暗号の解読

• ヒトへの攻撃グ– ソーシャル・エンジニアリング

• その他の攻撃⽔飲み場型攻撃– ⽔飲み場型攻撃


サイバーセキュリティ対策の⼀般論 (IoT)• セキュリティ対策の種類

– 物理的なセキュリティ対策モノに対して物理的に施すもの• モノに対して物理的に施すもの

– 技術的なセキュリティ対策• ソフトウェアやハドウェアなど機能として施すもの• ソフトウェアやハードウェアなど機能として施すもの

– ⼈的なセキュリティ対策• ヒトや組織に施すもの• ヒトや組織に施すもの

• セキュリティ機能の種類防⽌– 防⽌• できない、させない

– 検出• みつける気づく (監視)• みつける、気づく (監視)

– 対応• 緩和、封じ込め、復旧


⼀般的な対策の例 (IoT)• 物理セキュリティ対策

– ⼊室管理施錠やUSB等I/Oポトのコネクタカバなど– 施錠やUSB等I/Oポートのコネクタカバーなど

– 耐タンパー

技術セキリ対策• 技術セキュリティ対策– ファイアウォール– IDS, IPS– ウイルス対策ソフト– 暗号化、難読化– エンティティ認証、メッセージ認証– 共通鍵、公開鍵、証明書

• ⼈的セキュリティ対策⼈的セキュリティ対策– 鍵管理などの運⽤ルール– セキュリティ教育


⼀般的な対策のマッピング (IoT)防⽌検出対応

⼈的的対策

セキュリティ教育鍵管理などの運⽤ルール

技術

ファイアウォール IDS IPS

ウイルス対策ソフト術的対策暗号化、難読化エンティティ認証、メッセージ認証

物

共通鍵、公開鍵、証明書

⼊室管理物理的対策

⼊室管理

耐タンパー施錠


打てる⼿は限られている (IoT)• 特に技術的な対策では実質的な選択肢がほとんどない

– 間接的な対策間接的な対策• ファイアウォール、IDS、IPS、ウイルス対策ソフト

本質的な対策– 本質的な対策• 暗号化、エンティティ認証、メッセージ認証

– 本質的な対策を実現するための技術要素• 鍵 (共通鍵、公開鍵...) 、証明書

• セキュリティ対策には賞味期限がある鍵は解読できる– 鍵は解読できる

– 証明書には有効期限がある


やっぱり無線通信は危ない? (IoT)• 無線通信の危険性

– 電波の届く範囲なら「盗聴」できる電波の届く範囲なら「盗聴」できる– 電波が届く範囲ならどこからでも「侵⼊」できる– 技術的な難易度は有線通信と同等だが、どこからでも「侵⼊」で

点有線通信「きる点で、有線通信より「なりすまし」しやすい– 通信の「妨害」や「中間者攻撃」も「なりすまし」と同じ理由で

やりやすいやりやすい

【参考】車載無線通信プロトコルのリバースエンジニアリング、なりすましの実証実験などSecurity and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case StudyMonitoring System Case Studyhttp://www.winlab.rutgers.edu/~Gruteser/papers/xu_tpms10.pdf


IoTでは何が問題なのか

IoTのセキュリティ上の課題


問題を切り分ける (IoT)• サーバー側

– 通常のITやクラウドと変わらない通常のITやクラウドと変わらない– 脅威も対策も同じ

• デバイス側– IoT特有の部分 (脅威や対策が通常のITやクラウドと異なる)

デバ• デバイスそのもの• デバイスの通信

【参考】クラウドにおけるサイバーセキュリティ対策の考え方CSA Japan Summit 2014 クラウド時代のセキュリティ ~新しいリスクへの対応 (2014年5月 HP)p ( )3.5 サイバー・キル・チェーンの利用3.6 攻撃の侵攻の例3.7 サイバー・キル・チェーン、その対応手法http://www.cloudsecurityalliance.jp/Summit Presentations/CSA-Cloud-Security-20140523hp-P.pdf


p y jp y p p


デバイスに対する脅威 (IoT)• どこにあるかで脅威の強さが異なる

– 個⼈など第三者の⼿元にある個⼈など第三者の⼿元にある• ⾮常に攻めやすく守りにくい

– ほぼ無⼈の状態で屋外や公共の場にある• 第三者の⼿元とあまり変わらないが、多少攻めにくく守りやすい

– 運⽤者の施設内など当事者以外の第三者が⽴ち⼊れない所にある• 上の⼆つに⽐べればかなり攻めにくく守りやすい• 上の⼆つに⽐べればかなり攻めにくく守りやすい

• 空間的な広がりも影響する– 地理的に離れたものが連携

• 守りにくく攻めやすい施設や設備内にあるものが連携– 施設や設備内にあるものが連携• ⽐較的守りやすく攻めにくい


IoT特有の問題 (IεT)• 打てる⼿がさらに限られる

• 物理セキュリティ対策の限界– デバイスを物理的に管理できるとは限らない

• 悪意ある者が安全に⼗分に時間をかけて解析できる• 悪意ある者がデバイスを不正に改造する機会を得やすい

• 技術セキュリティ対策の限界– 処理能⼒やメモリサイズなどリソースが限られている– 処理能⼒やメモリサイズなどリソースが限られている

• ⾼機能な対策を施せないことがある– さまざまな事情で継続的に対策を更新するのが難しい場合がある

【参考】センサーネットワークのセキュリティリスクと課題平成22年度新世代情報セキュリティ研究開発事業事業実施報告書 (平成22·03·31 財情第38号)1.4 センサネットワークを守るセキュリティ技術


http://www.meti.go.jp/meti_lib/report/2011fy/E001742.pdf


IoT特有の問題の例 (IεT)• 不正なデバイスをどう排除するか?

– デバイスのエンティティ認証をする?• 認証に使う鍵はどうする?

– 公開鍵?» 証明書をどうする?

» 有効期限は?» 証明書の更新は?

» デバイスのリソースは⾜りる?– 共通鍵?

» 鍵の解読や盗難をどうする?» 鍵は更新する?

• 鍵や証明書の配布はどうする?– 更新しない?

オンラインで配布?– オンラインで配布?» オンライン配布機能⾃⾝のセキュリティをどう確保する?

– オフラインで配布?» 現実的? 配布⽤の媒体の管理をどうする?» 現実的? 配布⽤の媒体の管理をどうする?


IAにおける課題 (IдT)?• どのデバイスからの⼊⼒を信⽤するか

– デバイスが偽造品や不正に改造されたものかもしれないデバイスが偽造品や不正に改造されたものかもしれない– 通信時にデータが改ざんされているかもしれない

• ⾃然故障などと同じような対処はできない– 不⾃然な確率で異常が発⽣するのがサイバー攻撃の特徴

「意操作意検知名古業⼤学橋本教授• 「悪意ある誤操作、悪意ある誤検知」― 名古屋⼯業⼤学橋本教授

• もしデバイスからの⼊⼒を元に制御しているなら ※• もしデバイスからの⼊⼒を元に制御しているなら...※※ 逆 (デバイスは何を信じて操作するか) も然り

– 何を信じて、どう制御するのが正解か?– どう安全に倒せるか?


実際の経験もふまえて⾊々と思いつくままに

解決策ではありませんが...


ポイント (IoT)• すでにある知⾒を活⽤する

– そのまま使えなくても参考にはなるはずそのまま使えなくても参考にはなるはず

• すべてを求めない– 割り切りが肝⼼

• システム構成を⼯夫する– 万が⼀に備える


すでにある知⾒を活⽤する (IoT)• 規格としてまとめられた知⾒の例

– JIS X 505x• 認証や鍵などのセキュリティ技術の国際標準

– NIST SP 800 シリーズ• コンピュータセキュリティ関連のガイドライン• 例えば...

– NIST SP 800-53 :連邦政府情報システムにおける推奨セキュリティ管理策

– NIST FIPS シリーズ• 暗号化や鍵、認証などの技術的な標準、要求事項など• 例えば...

– NIST FIPS 140-2 : 暗号化モジュール (デバイス) に対する要求事項

– Common Criteria (ISO/IEC 15408, JIS X 5070)• 情報技術セキュリティの評価基準

– なぜか制御システムセキュリティではあまり話題に上がっていない気が...


すでにある知⾒を活⽤する (IoT)• 脅威や対策の研究事例など【参考】車載ネットワークのセキュリティリスクと対策に関する研究開発【参考】車載ネットワクのセキュリティリスクと対策に関する研究開発(車載ネットワークのセキュリティリスク分析、セキュリティアーキテクチャ、FPGAを用いたプロトタイプなど)EVITA Projecthttp://evita-project.org/Project SummaryProject Summaryhttp://evita-project.org/Publications/EVITAD0.pdf

【参考】心理学に基づいたサイバーセキュリティの予防案組織内部者の不正行為によるインシデント調査調査報告書 (2012年7月 IPA)組織内部者の不正行為によるインシデント調査－調査報告書－ (2012年7月 IPA)P11, 図 3 状況的犯罪予防（ＩＴセキュリティ対策版）http://www.ipa.go.jp/files/000014169.pdf


すべてを求めない (IoT)• 守りきれない事を前提に

– 暗号化、認証など⼀般的な技術的対策は可能であれば施す暗号化、認証など般的な技術的対策は可能であれば施す• 技術的対策は万全ではないことを忘れずに

– 被害を受けても⼀部にしか影響が出ないように対策する• 簡単には全体を把握できない• すべての機能を⼀度に喪失しない

• システム設計が重要– システム構成 (アーキテクチャ) を⼯夫して「被害を受けても⼀

部にしか影響が出ない」システムを実現する


システム構成を⼯夫する (IoT)• 考えられる対策

– 分離、分割、分散を軸にした対策分離、分割、分散を軸にした対策• 例えば、断⽚化、多重化、冗⻑化などが有効では?

情報断⽚化難読化– 情報の断⽚化、難読化• ⾒られても、盗られても⼀部しかわからない• 情報量をコントロール情報量をコントロル

– 必要な情報を必要なだけ、不必要な情報はもたせない• 関連する技術 (ここまでガッツリやる必要はないと思いますが)

– 電⼦割符マスキング– 電⼦割符、マスキング

– 断⽚化した情報を⽤いた異常の検出もできれば• 断⽚化した情報に異常検出のためのノイズを付加するのもあり?


モデルで整理する (IoT;)• モデルを作るとリスクや課題が整理できる

– モデリングが本業だからというわけでは...モデリングが本業だからというわけでは...

• モデル化する主な対象– システムが扱う情報の構造– データ、情報、処理などの流れ– 処理や制御の⼊⼒と出⼒– 装置や機器などと通信経路の構造


モデルで対策を検討する (IoT)• モデルから把握すること

– 情報の構成要素のデータソース情報の構成要素のデタソス– 重要情報となりうる情報の組み合わせやタイミング– セキュリティ上脅威となりうる箇所– 異常発⽣時に考えられる事象– 異常の影響範囲

• 検討する対策の例– 情報や通信経路の分割– 情報や通信経路の分割– 異常を検出するための⼿段– 異常時の対処


まとめ (IoT)• 技術的な対策は選択肢があまりなく賞味期限もある• IoTのセキュリティ対策では打てる⼿はかなり限られる• IoTのセキュリティ対策では打てる⼿はかなり限られる• 守りきれないことを前提に対処するのが重要• システム構成を検討するにはモデルが役に⽴つ• システム構成を検討するにはモデルが役に⽴つ

それでは忌憚のないご意⾒をどうぞ忌憚のないご意⾒をどうぞ


ありがとうございました本資料に関するコメントやご質問は以下へ願います

オージス総研組み込みソリューション第⼀部

⽶野巌視[email protected]

YOUR MODELING PARTNERIoTとセキュリティ

IoTとセキュリティ · IoTの定義をまとめてみると... (IoT)!...

Documents

Transcript of IoTとセキュリティ · IoTの定義をまとめてみると... (IoT)!...